Siber Hijyen

Home  /  Yazılar

SİBER HİJYEN

Hijyen anlam itibariyle zararlı olandan arınmaktır. Geçmiş yıllara ve günümüz 2020 dünyasına bakıldığında insana direkt veya dolaylı olarak zarar veren envanter hacminin arttığı gözlemlenmektedir. İnsanlara zamandan, finanstan ve fiziksel güçten tasarruf sağlayan teknoloji sağlamış olduğu fayda ile beraberinde tehdit unsurlarını da getirmektedir. Bahsedilen alanlarda tasarrufun sağlanabilmesi için insanoğlunun ‘bilgi’ lerini, teknolojinin temel yapı taşı olan internete yerleştirmesi gerekmektedir. Bilginin internete kontrolsüzce yerleştirilmesi, fiziksel güvenliği tehdit altında bırakmak kadar önemlidir. Bilgi güvenliği, günümüzde fiziksel güvenlik kadar önem arz etmektedir. Bilgi güvensizliği, insan özgürlüğünü kısıtlayabilmektedir. Zararlı kavramlardan arınmak olan hijyen kavramı, teknoloji ve internetin şekillendiği bir ortam olan ‘siber alem’ içinde ihmal edilmemesi gereken bir kavramdır.

Siber Hijyen, internet ile bağlantısı olan bütün cihaz ve çevresel ürünlerin tehdit ürünlerine karşı arındırılması, kurulacak savunma mekanizmasının güçlendirilmesidir. Hijyen kavramının, Covid-19 salgınıyla birlikte ön plana çıktığı görülmektedir. Aslında siber dünyasında da hijyen kavramı pandemi süreciyle birlikte ön plana çıkmıştır. Pandemiden dolayı finansal olarak dar çember içerisine giren bütün dünya şirketleri çalışanlarına, uzaktan çalışma imkanı tanımaya başlamıştır. Görünen o ki uzaktan çalışma modellerine bütün dünyanın alışması gerekmektedir. Uzaktan çalışma modellerinin dizaynı, sürekliliği ve güvenliğinde Bilişim Teknoloji alanında uzman kişilere büyük bir iş yükü düşmüştür. Bünyesinde, BT (Bilgi Teknolojileri) ekiplerine yeterli sayıda istihdam sağlamayan kuruluşlar, uzaktan çalışma modellerine geçiş sırasında zaman ve finansal kayıplara uğramıştır.

Siber tehditler, teknolojinin ve dolayısıyla internetin gelişmesiyle birlikte günümüzde ziyadesiyle artış göstermiştir. Siber saldırı hacimlerinin artışıyla birlikte saldırı tekniklerinin de saldırganlar tarafından geliştirilerek tehdit unsurlarının artı yönde artmasına sebep olmuştur hala da olmaktadır. Siber Hijyen, sistemlerin tasarlandığı esnada devreye alınması gereken bir prosedür olmalıdır. Hijyen kurallarına dikkat edilmeden tasarlanan kontrolsüz sistemlerin daha sonrasında vereceği güvenlik zafiyetlerinden dolayı Siber Hijyen prosedürlerinin bu sistemlere uygulanması hem zaman hem de finansal kayıplara sebep olacaktır. Bilginin yer aldığı bütün teknolojik ortamlarda uygulanması ve belirli döngü haline getirilmesi gereken Siber Hijyen kavramına tehdit oluşturacak unsurlar şunlardır:

APT (Sürekli Gelişmiş Tehditler) Grupları ve Aktiviteleri

APT grupları devletler veya istihbarat örgütleri tarafından desteklenen ve motivasyonlarını milliyetçilik, devletçilik veya para gibi kavramlar ile tamamlayan Siber Terör örgütleridir. APT gruplarının birçoğu saldırılarını espiyonaj (bilgi hırsızlığı) üzerine yapmaktadır. Saldırılar, hedef haline gelen ülkenin devlet kurumları ve bu kurumlarla ilişkili olan kuruluşlarına yapılarak yıkıcı sonuçlar meydana getirebilmektedir. Bilginin güvende olmaması bu tarz gruplar tarafından yapılan saldırılarda devlet veya istihbarat örgütlerini bazı yaptırımlar altında kalmak zorunda bırakabilmektedir.

APT gruplarının yıllara göre artış grafiklerine bakıldığında, espiyonaj aktivite yoğunluğunun siber uzayda her geçen yıl arttığını görebiliriz. Fiziksel istihbarat yerine, siber istihbaratın (https://gaissecurity.com/icerik/red-team/) tercih edilmesi saldırganlara hem zaman kazandırmakta hem de daha fazla bilgi kaynağını tarayabilme imkanı sağlamaktadır.

APT grupları belirledikleri hedef hakkında aylarca veya yıllarca süren araştırmalar yapıp, hedef sistemin hakkında bütün bilgileri toplayarak faaliyet göstermektedir (Bknz: Stuxnet Saldırısı). Grubun bünyesinde sistem uzmanı, yazılım uzmanı, network uzmanı gibi kişilerden oluşan veya farklı ve birden çok alanlarda kabiliyeti olan kişiler bulunmaktadır. Bu kişiler aylarca veya yıllarca süren araştırmalarında, sistemde bulunan Zero-Day (Sıfırıncı Gün Açığı) veya güvenlik zafiyetlerini tespit ederek, bu zafiyetlere göre farklı saldırı teknikleri geliştirmektedir.

Zararlı yazılım çözümleri üreticisi olan Kaspersky tarafından yayımlanan raporda 2020 yılı içerisinde APT grupları tarafından hedef alınan 12 ülke arasında Türkiye’ de bulunmaktadır. Bu tarz saldırı gruplarına karşı kurum veya firmaların bünyelerinde SOC (https://gaissecurity.com/icerik/soc/) (Güvenlik Operasyon Merkezi) kurularak, 7/24 süreyle Siber İstihbarat ve Siber Tehdit İstihbaratı faaliyetleri yürütülerek, planlanan saldırıların öncesinde bilgi toplanarak önlem alınmalıdır. APT grupları, aşağıda bahsedilecek olan Sosyal Mühendislik saldırılarını da bilgi toplamak için sıkça kullanmaktadır. Bu konuda da çalışan personeller sürekli ve düzenli olarak Bilgi Güvenliği eğitimlerine tabii tutulmalıdır.

Güncel Yazılım ve Donanımların Kullanılması

Saldırganlar, çeşitli otomatize edilmiş araçları kullanarak veya Sosyal Mühendislik yöntemi ile sistemler hakkında bilgi toplamaktadır. Motivasyonu içerisinde herhangi bir amaç olmaksızın saldırı düzenleyen saldırganlar, özellikle yazılımların güncel versiyonu kullanılmamasına istinaden zafiyeti olan sistemlere saldırmaktadır.

2020 yılı içerisinde gerçekleşen siber olayların %600 artış gösterdiği günümüzde gerçekleşen olayların yine bir kısmı güvenlik zafiyetlerinin güncellenmemesinden kaynaklanmaktadır. Yine 2020 yılı içerisinde insanlar tarafından en çok kullanılan iki firmanın güvenlik zafiyet yamalanmıştır, bu firmalar Google ve Microsoft’ tur. Firmalar tarafından yayımlanan güvenlik zafiyet yamalarının yapılmadığı sistemler, gerçekleşen siber olaylara karışmıştır (Bknz: thehackernews.com).

Güncel yazılım ve donanım kullanılmaması neticesinde etkilenen sektör arasında müşterilerine bulut hizmeti sunan birçok firma da bulunmaktadır. Firmaların veya insanların yazılım/ sistem maliyet yüklerini azaltmak için son zamanlar sıklıkta kullanılan bulut hizmetleri sunan firmaların da kullanılan uygulamaları güncellenmemesi kaynaklı saldırılara açık kaldıkları gözlemlenmektedir. Yapılan sözleşmelerde bazı bulut bilişim firmaları, kullanılan uygulama güncellemelerinden müşterilerinin sorumlu olduğunu beyan etmektedir. Bu konuda sözleşme detaylı olarak incelenmeli ve gerekli aksiyonlar zamanında alınmalıdır.

Güncel yazılım kullanımı konusunda da firmalar veya kuruluşlar sistem ve yazılımların versiyonlarını sürekli olarak takip etmelidir. Aynı zamanda Bug-Bounty (Ödül Avcılığı) programları ile saldırgan gözünden yaklaşım ile güvenlik zafiyetlerini tespit edip kapatabilir.

Bilgi Güvenliği Konusunda Eğitim

Saldırganlar tarafından geliştirilen ve her geçen gün hacimsel olarak artış gösteren tehditler karşısında kurum ve firmalar çalışan personellerine güncel olmak şartıyla sürekli ve düzenli olarak bilgi güvenliği eğitimi (https://gaissecurity.com/icerik/egitim/) sağlamalıdır. 2019-2020 yılları içerisinde artan siber olaylardan etkilenen kuruluşlara bakıldığında ilk sırayı güvenlik ürünlerinin yetersizliği/ konfigürasyon hatası alırken ikinci sırayı çalışan personellerin bilgi güvenliği konusundaki eğitimsiz kalması yer almaktadır.

Bilgi güvenliği eğitimlerinden bahsetmişken BT ekiplerinin de güncel eğitim almaları konusu es geçilmemelidir. Özellikle kurum ve firmaların bünyesinde bulunan ekiplerin gerek yurtiçi gerek yurtdışı teknik eğitimler almaları sağlanmalıdır.

Zararlı Yazılımlar

Zararlı yazılımlar, sistemlere enjekte oldukları andan itibaren büyük yıkımlara sebep olan zararlı kod parçacıklarında oluşan yazılımlardır. Zararlı yazılımlar, saldırganlar tarafından hedef odaklı da ya da global olarak yayımlanabilmektedir.

Zararlı yazılım türleri şunlardır:

Solucan: Solucanlar, yazılımlarda bulunan güvenlik açıkları veya kimlik avı saldırı teknikleriyle kendini ağ bünyesinde bulunan diğer cihazlara enjekte edebilen zararlı yazılımdır. Solucanları yetenekleri arasında şunlar bulunmaktadır:

  • Dosyaları değiştirmek/ silmek,
  • Kötü amaçlı başka yazılımlar enjekte etmek,
  • Otomatik olarak kendini kopyalamak,
  • Veri hırsızlığı,
  • Backdoor (Arka Kapı) oluşturmak.


Virüs: Solucanların çalışma prensibinin aksine sisteme enjekte olabilmesi için programlara ihtiyacı vardır. Bu sebeple saldırganlar tarafından genellikle yürütülebilir dosyalara veya Office dosyalarına enjekte edilmektedir. Web sitelerinden ve e-posta eklerinden bulaşabilen virüsler, günümüzde Sosyal Mühendislik saldırılarında da kullanılarak e-posta eklerinde sıklıkla kullanılmaktadır.

 


Bot: Uzaktan kontrol edilebilen botlar, enjekte edildiği bilgisayar olarak adlandırılırken botların toplu olarak bulundukları ağ da Botnet olarak ifade edilmektedir. Botlar, zombi olarak da ifade edilebilmektedir. Botlar genel itibariyle aşağıdaki saldırı teknikleri için kullanılmaktadır:

  • DDoS Saldırıları,
  • Spam ve Kimlik Avı Mesajları,
  • Keylogging (Klavyede Yapılan Aktiviteyi Kayıt Etme).


Trojan (Truva Atı): Kendisini meşru bir dosya olarak gizleyen, hedefe güven sağlamak için tasarlanan zararlı yazılım türüdür. Görünüm itibariyle güven vermesi neticesinde hedef tarafından çalıştırılan Trojan aşağıdaki kabiliyetlere sahiptir:

  • Veri Silme/ Değiştirme ve Hırsızlığı
  • Enfekte Olduğu Cihazı Botnet Ağına Dahil Edebilme,
  • Espiyonaj,
  • Yetkisiz Erişim.


Ransomware (Fidye Yazılımı): Fidye yazılımları enfekte olduğu sistemlerde kullanıcının bütün dosyalarını çeşitli şifreleme algoritmalarıyla şifreleyerek, kullanıcının dosyalarına erişimini engellemektedir. Saldırgan tarafından erişimin açılması için kullanıcıdan ücret talep edilmesine olanak sağlayan zararlı yazılım türüdür.

 


Adware (Reklam Yazılımları): Son kullanıcı tarafından ziyaret edilen web sitelerinde pop-up olarak beliren ve can sıkıcı olabilen Adware, nadiren de olsa zararlı yazılım indirilmesi için farklı web sitelerine yönlendirilmesini sağlayan zararlı yazılım türüdür.

 

 


Spyware (Casus Yazılım): Casus yazılımları, enfekte oldukları sistemde kullanıcı tarafından yapılan bütün aktiviteleri saldırgana ileten zararlı yazılım türüdür. Casus yazılımlar lisansı kırılmış (crack) ürünler olarak son kullanıcıya sunulduğu için kullanıcı tarafında cazibe oluşturabilmektedir. Genellikle espiyonaj, kimlik hırsızlığı ve bankacılık bilgilerinin son kullanıcıdan çalınması için kullanılmaktadır.

 

Zararlı yazılım çözümü olarak güncel ve lisanslı anti-virüs programları kullanılmalıdır. Aynı zamanda kritik kurum ve kuruluşlar da istihdam edilen Siber Güvenlik ekiplerine şüpheli yazılımları inceleme olanağı sağlayan behavior analiz (https://gaissecurity.com/bilgi/malwation-aima/) (düşüncesel analiz) imkanı sağlayan araçlar tahsis edilmelidir. Bu sayede şüpheli yazılımlar incelenerek, güvenlik ürünlerine korelasyonlar oluşturularak savunma mekanizmaları güçlendirilebilir.

Sosyal Mühendislik Saldırıları

Saldırganlar tarafından hedefe yönelik yapılan psikolojik manipülasyon ile sistem veya kişi hakkında bilgi toplamak amacıyla yapılan saldırı tekniğidir. Sosyal Mühendislik saldırılarında ilk olarak sosyal medya platformları saldırganlar tarafından sıkça kullanılmaktadır. Hedef ile iletişime geçen saldırgan güveni kazandıktan sonraki adımda yapmış olduğu analiz ile kullanıcıya ait bilgilere direkt veya dolaylı yollar ile ulaşmaya çalışmaktadır.

Sosyal Mühendislik saldırılarının önüne geçebilmek için istihdam edilen personellerin yapmış oldukları iş, yürütmüş oldukları proje veya şirket/ kurum hakkında sosyal medya üzerinde bilgi, belge veya fotoğraf paylaşmamaları konusunda ikaz edilmelidir. Bu konuda da çalışanlardan ziyade kurum veya şirket hakkında yapılan sosyal medya etkileşimleri Siber İstihbarat kapsamında değerlendirilerek önlem alınmalıdır.

Temiz Kod Politikası ve Kaynak Kod İncelenmesi

BT ekipleri içerisinde bulunan yazılım ekiplerini yakından ilgilendiren Temiz Kod politikası bilgi ifşaları olabilme ihtimaline karşı dikkat edilmelidir. Yazılımcıların firma/ kurum içerisinde geliştirilen ürünlerde zafiyet oluşmaması dikkat edilmelidir şayet daha sonrasın saldırganlar tarafından sömürülecek zafiyetler yıkıcı sonuçlara sebep olabilmektedir.

Firma ve kurumlar tarafından kullanılacak uygulamalar, uygulama kullanılmadan önce güvenlik ekiplerince kaynak kod analizine tabii tutulmalıdır. Kullanılacak ürüne enjekte edilmiş herhangi bir backdoor şirket veya kurumların kritik bilgilerinin ifşa edilmesine sebep olabilmektedir. “Ürün ücretsiz sunuluyorsa, ürün sizsiniz!” sözü unutulmadan kaynak kod analizi politikaları sıkılaştırılmalıdır.

Son olarak;

  1. Siber Hijyen politikaları düzenlenmeden önce ilk olarak sistem envanteri belirlenmelidir.
  2. Belirlenen envantere uygulanacak güvenlik politikaları düzenlenmelidir.
  3. Güvenlik politikaları Siber Hijyen kapsamında sürekli ve düzenli olarak denetlenmelidir. Varsa zafiyetler belirlenmelidir.
  4. Belirlenen sistem zafiyetleri gerekli güncellemeler ile giderilmelidir.
  5. Siber Hijyen politikaları tekrarlanmalıdır.